Alles over CycloneDX 1.6
1 mei 2024
Ingenieurswetenschappen
SBOM is de basis van software-transparantie en cyberweerbaarheid.
CycloneDX is een van de drie SBOM-specificaties die worden aanbevolen door NTIA/CISA en een van de populairste SBOM-specificaties.
De OWASP Foundation heeft eerder deze maand CycloneDX versie 1.6 uitgebracht.
Naast verschillende verbeteringen voegt versie 1.6 de mogelijkheid toe om een Cryptographic Bill of Materials (CBOM) op te bouwen en CycloneDX-attestaties (CDXA) te specificeren.
Laten we aan de slag gaan.
Post-kwantumcryptografie (PQC)
Naarmate quantumcomputing vordert, zal het uiteindelijk in staat zijn om alle legacy-cryptografie die wordt gebruikt voor digitale handtekeningen en encryptie te verbreken. CISA voert een Post-Quantum Cryptography (PQC) Initiative uit om federale agentschappen en particuliere industrieën voor deze quantumsprong voor te bereiden. Een van de vroege aanbevelingen is om te beginnen met het opbouwen van een cryptografische inventaris van gebruikte activa.
Dit is waar CycloneDX 1.6 om de hoek komt kijken.
Cryptografische Bill of Materials (CBOM)
De CBOM is een uitbreiding van SBOM die cryptografische eigenschappen bevat. OWASP heeft een Autoritatieve Gids voor CBOM gepubliceerd samen met de release van CycloneDX 1.6 om het bouwen en consumeren van CBOM te begeleiden.
IBM-onderzoek naar CBOM heeft de CycloneDX-versie 1.4 uitgebreid om het volgende op te nemen:
Component:
crypto-assetEigenschappen:
cryptoPropertiesAfhankelijkheden:
dependencyType
CycloneDX 1.6 bereikt hetzelfde door:
toevoegen van een
cryptographic-assetaan de ondersteunde componenttypentoevoegen van een
providesaan zijndependenciesknooppunt om een cryptografische waarde (functionaliteit, bestanden) die door een component wordt geleverd, te ondersteunentoevoegen van
cryptoPropertiesaan hetcomponentsknooppunt om details van de cryptografische activa vast te leggen
cryptoProperties speelt een sleutelrol in het documenteren van een breed scala aan cryptografische activa en bijbehorende metadata, zoals:
assetType— het type actief dat wordt beschreven: algoritme, certificaat, protocol of gerelateerd materiaalalgorithmProperties— Als het type actief eenalgorithmis, beschrijft dit algoritme-eigenschappen zoals primitief, curve, padding, omgeving en beveiligingsniveau (klassiek en nistQuantum)certificateProperties— Als het type actief hetcertificateis, beschrijft dit certificaat-eigenschappen zoals naam, uitgever, geldigheidsperiode, indeling en handtekeningdetailsprotocolProperties— Als het type actief hetprotocolis, kan dit het specifieke type specificeren (‘tls’, ‘ipsec’), versie, gebruikte cipher suites, en ikev2 transformatietypenrelatedCryptoMaterialProperties— Als het type actiefrelated-crypto-materialis, beschrijft dit aanvullende details zoals grootte, indeling, waarde, creatie-, update- en activeringsdata
De Autoritatieve Gids voor CBOM bevat voorbeelden, waaronder een voor het beschrijven van “AES-128-GCM”.
De CBOM-additie verwijst naar en dankt het IBM-onderzoek naar CBOM, en daarom zou elke implementatie zowel de specificatie als het IBM-onderzoek moeten gebruiken voor achtergrondinformatie.
CycloneDX Attestaties (CDXA)
CycloneDX 1.6 voegt attestatie toe en beschrijft dit als “compliance as code.” OWASP heeft ook een Autoritatieve Gids voor Attestaties gepubliceerd samen met de release van CycloneDX 1.6 om de bouw en consumptie van CDXA te begeleiden.
Bovendien heeft OWASP een Autoritatieve Gids voor Attestaties gepubliceerd.
CDXA heeft als doel attestaties te gebruiken om te voldoen aan beveiligingseisen, het automatiseren van bewijs generatie, communiceren met beoordelaars en fungeren als een standaard voor machineleesbare versies van hun vereisten.
Compliance als Code
In de CDXA-aanpak wordt de naleving van normen opgedeeld in:
Het definiëren van standaardvereisten
Claims maken tegen die vereisten
Bewijs vastleggen ter ondersteuning van die claims
Het ondertekenen van de verklaring die al het bovenstaande opsomt
Verklaringen zijn een set van claims, tegenclaims en bijbehorend bewijs.
In CDXA worden de claims, tegenclaims, bewijsmateriaal en gerelateerde metadata allemaal gedocumenteerd in de SBOM en cryptografisch ondertekend door de attestatiepartij.
Om dat te bereiken, voegt CycloneDX 1.6 het volgende toe:
definitionsknooppunt om een standaard en de details ervan op te gevendeclarationsknooppunt om de bijbehorende claims, bewijs, handtekeningen en metadata vast te leggen
Definities
De definitions node is voor het gedetailleerd beschrijven van de standaard en ondersteunt standaardversie en niveaus van naleving.
CDXA wordt geleverd met attestatie schema's voor gangbare beveiligingsstandaarden:
NIST Secure Software Development Framework (SSDF)
PCI Secure Software Life Cycle (PCI-SLC)
Build Security in Maturity Model (BSIMM)
OWASP Application Security Verification Standard (ASVS)
OWASP Mobile Application Security Verification Standard (MASVS)
OWASP Software Component Verification Standard (SCVS)
Het kan ook een aangepaste standaard maken met attestatievereisten.
SSDF-vereisten, bijvoorbeeld, zijn onderverdeeld in de CycloneDX-repository.
Declaraties
De declarations node is de daadwerkelijke registratie van claims met betrekking tot SBOM-inhoud en standaardvereisten.
CDXA ondersteunt de registratie van de beoordelingspartijlijst van ondertekende claims, inclusief redenering, bewijs, tegenbewijs en mitigatiestrategieën.
De OWASP Authoritative Guide to Attestations bevat voorbeelden van hoe claims te getuigen.
CDXA maakt een grote sprong richting automatische bewijsverzameling voor veel vereisten, maar heeft aanvullende tools nodig om specifieke details vast te leggen.
Voorbeeld: SSDF PW2.1: “Heb een gekwalificeerd persoon (of personen) die niet betrokken waren bij het ontwerp.”
CycloneDX blijft vooruitgang boeken in het verbeteren van de dekking van de SBOM en het interpreteren en effectiever gebruiken van de gegevens.
CBOM en CDXA zullen het risicobeheer van post-kwantumcryptografie aanzienlijk bevorderen en de beweging “compliance as a code” versterken.